OnionDrop e il trucco di fiducia di Windows che continua a rendere
Un loader basato sul DLL sideloading viene usato per distribuire più infostealer, e una caccia storica con YARA suggerisce che la campagna abbia lasciato una traccia più ampia di quanto mostrerebbe un singolo campione.
Il malware più efficace è spesso quello meno teatrale a prima vista. OnionDrop rientra in questo schema: un loader osservato in campagne che usano il DLL sideloading per avviare più infostealer su sistemi Windows. Ciò che rende il caso notevole non è solo il metodo di distribuzione, ma il volume di varianti scoperto tramite retro-hunting - più di 645 campioni unici di DLL tra il 28 febbraio e il 20 maggio 2026, con distribuzioni ancora attive al momento della pubblicazione dell'articolo.
Fatti rapidi
- OnionDrop è un loader di malware per Windows collegato alla distribuzione di infostealer.
- Il DLL sideloading consente a un eseguibile legittimo di caricare una DLL malevola tramite il normale comportamento di Windows.
- Il retro-hunting con YARA ha identificato oltre 645 campioni unici di DLL di OnionDrop.
- La finestra dei campioni copriva il periodo dal 28 febbraio al 20 maggio 2026.
- Le distribuzioni erano indicate come ancora attive al momento della pubblicazione.
Come funziona la tecnica
Il DLL sideloading è semplice in teoria ed efficace in pratica. Un programma dall'aspetto innocuo viene affiancato a una DLL malevola collocata dove Windows è probabile che la carichi. Se l'applicazione risolve quel nome di libreria tramite il normale comportamento di ricerca, il codice dell'attaccante viene eseguito all'interno di un percorso di esecuzione fidato. MITRE classifica questo come abuso del caricamento DLL, mentre Microsoft documenta il rischio di un ordine di ricerca DLL non sicuro e del binary planting.
Questo conta perché il processo di prima fase può sembrare ordinario sia agli utenti sia ad alcuni strumenti di sicurezza. In alcuni ambienti, il processo genitore visibile può essere un'applicazione legittima, mentre il comportamento malevolo risiede nella libreria che essa carica. Per i difensori, ciò sposta l'attenzione dai soli nomi dei file all'intera catena di esecuzione: quale processo è stato avviato, quale DLL è stata caricata, da dove e se il percorso era previsto.
Perché il retro-hunting cambia il quadro
La ricerca retrospettiva guidata da YARA è l'altro dettaglio chiave. Il modello Retrohunt di VirusTotal mostra perché i vecchi campioni contano: una regola può essere eseguita sulle submission archiviate per far emergere file correlati che erano sfuggiti in tempo reale. Un conteggio superiore a 645 campioni unici di DLL non dimostra 645 operatori distinti o 645 vittime separate. Suggerisce però un repackaging ripetuto, il riuso o un rapido churn di varianti attorno alla stessa idea di loader.
Questo è importante dal punto di vista operativo. Un loader agnostico rispetto al payload può essere riutilizzato con famiglie diverse di infostealer senza modificare il trucco centrale. Dal punto di vista difensivo, questo significa che bloccare un hash o il nome di una sola famiglia raramente basta. Il segnale migliore è un pattern di caricamento sospetto, soprattutto un eseguibile legittimo che carica una DLL inattesa adiacente da una posizione scrivibile o non standard.
Cosa dovrebbero monitorare i difensori
Il comportamento di caricamento di Windows è il punto debole qui. Il monitoraggio di una risoluzione DLL insolita, di librerie non firmate o inattese vicino a binari fidati e di avvii ripetuti dalla stessa catena padre-figlio può far emergere questo tipo di attività prima. Se si sospetta una distribuzione di infostealer, l'ipotesi sicura è il rischio per le credenziali: password, sessioni del browser e token potrebbero richiedere revisione e reset a seconda dell'esposizione.
La lezione più ampia è scomoda ma chiara. Il malware moderno non ha sempre bisogno di exploit esotici quando può sfruttare la fiducia delle normali regole di caricamento del software. OnionDrop ricorda che la strada verso un endpoint riguarda spesso meno il rompere Windows e più il convincerlo a collaborare.
TECHCROOK
chiave di sicurezza hardware: Un piccolo dispositivo USB o NFC usato per l'autenticazione a due fattori sugli account importanti. Per gli incidenti che coinvolgono furto di credenziali o infostealer, aggiunge una fase di accesso più forte delle sole password ed è ampiamente supportato dai principali servizi. Conserva una chiave di riserva in un luogo sicuro, così il recupero dell'account è più semplice se una viene smarrita.
WIKICROOK
- DLL sideloading: Una tecnica in cui un programma legittimo viene indotto a caricare una DLL malevola invece di quella prevista.
- Loader: Malware che avvia o distribuisce altri payload malevoli.
- Infostealer: Malware progettato per raccogliere credenziali, dati del browser, token e altre informazioni sensibili.
- YARA retro-hunting: Scansione di archivi storici di malware o submission con regole YARA per trovare campioni correlati.
- DLL search order: La sequenza che Windows usa per cercare una DLL quando un'applicazione ne richiede una.




